|
Plagegeister aller Art und deren Bekämpfung: XP Internet security 2010 & Trojaner-BNK.WIN.32.Keylogger.genWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
04.02.2010, 21:42 | #31 |
| XP Internet security 2010 & Trojaner-BNK.WIN.32.Keylogger.gen und mbam: Code:
ATTFilter Malwarebytes' Anti-Malware 1.44 Datenbank Version: 3679 Windows 5.1.2600 Service Pack 3 Internet Explorer 7.0.5730.13 04.02.2010 20:45:11 mbam-log-2010-02-04 (20-45-11).txt Scan-Methode: Vollst‰ndiger Scan (C:\|D:\|E:\|) Durchsuchte Objekte: 423582 Laufzeit: 1 hour(s), 19 minute(s), 20 second(s) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschl¸ssel: 0 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 2 Infizierte Speicherprozesse: (Keine bˆsartigen Objekte gefunden) Infizierte Speichermodule: (Keine bˆsartigen Objekte gefunden) Infizierte Registrierungsschl¸ssel: (Keine bˆsartigen Objekte gefunden) Infizierte Registrierungswerte: (Keine bˆsartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bˆsartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bˆsartigen Objekte gefunden) Infizierte Dateien: C:\System Volume Information\_restore{64DB525A-E557-40A9-AFEE-A950585B9802}\RP511\A0098105.exe (Trojan.Banker) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{64DB525A-E557-40A9-AFEE-A950585B9802}\RP511\A0098115.exe (Trojan.Banker) -> Quarantined and deleted successfully. |
04.02.2010, 21:51 | #32 |
| XP Internet security 2010 & Trojaner-BNK.WIN.32.Keylogger.gen PPS: Prex findet mit der suchroutine, die jetzt ca 4 tage alt ist, nix!
__________________ |
05.02.2010, 08:03 | #33 |
| XP Internet security 2010 & Trojaner-BNK.WIN.32.Keylogger.gen Hi,
__________________für ein Trojaner wäre das Verhalten das internet abzuklemmen sehr seltsam, da er darüber ja kommuniziert. Prüfe ob ein im Proxy im IE eingestellt ist und falls ja, ob es das richtige ist http://www-stl.htw-saarland.de/stl/msie-proxy-einstellungen.html chris
__________________ |
05.02.2010, 09:46 | #34 |
| XP Internet security 2010 & Trojaner-BNK.WIN.32.Keylogger.gen bin gerade nicht zu hause, aber ich geh eigendlich mit firefox ins internet! könnten trotzdem die ie proxy einstellungen schuld sein? |
05.02.2010, 17:10 | #35 |
| XP Internet security 2010 & Trojaner-BNK.WIN.32.Keylogger.gen Hi, kontrolliere bei beiden die Proxyeinstellungen... und schau mal, ob du in der Systemsteuerung im Menü "Internetoptionen" -> Verbindungen -> Lan Einstellungen/Erweitert einen Proxyserver angegeben hast. Wenn ja: entfernen (wenn Du Dir nicht sicher bist ob das der richtige Proxyserver ist) Sonst probieren ob Du über Einstellungen->Netzwerkverbindungen Rechtsklick auf die Verbindung die nicht tut->Reparieren...kannst.. chris
__________________ Don't bring me down Vor dem posten beachten! Spenden (Wer spenden will, kann sich gerne melden ) |
05.02.2010, 18:13 | #36 |
| XP Internet security 2010 & Trojaner-BNK.WIN.32.Keylogger.gen Servus, also Proxy hab ich nur den, den Du mir oben empfohlen hast. allerdings hat er keinen erfolg gebracht, daher werde ich ihn wohl wieder entfernen. vorher war kein proxy da. Repariert hab ich die verbindung schon viele Male - ohen Erfolg. Vielleicht noch weitere Idden? ich bin über jede sehr dankbar, da ich nicht weiter weiß! Kann irgendein Teil unserer Säuberungsaktion es irgendwie verursacht haben? also reg änderungen oder so? Danke, J. |
05.02.2010, 19:07 | #37 |
| XP Internet security 2010 & Trojaner-BNK.WIN.32.Keylogger.gen habe noch eine zusatzinfo: in der start leiste (in der leiste, die sich öffnet, denn man auf start klickt) war ein ie symbol (standardprogramm fürs Internet). dies hat der trojaner verursacht, im gleichen atemzug mit der installation der av.exe - das hab ich damals schon gesehen, vor her war da firefox. als ich jetzt nach dem säubern ins netz gehen wollte, hab ich mal draufgeklickt, um den ie aufzurufen. allerdings sagte er, er könne die exe datei nicht finden. habe mal die rechte maustaste draufgemacht, es war tatsächlich der ie explorer. habe nun die einstellungen hin zu firefox verändert, und nach wie vor fragt er mich, mit welchem Programm ich firefox öffnen will... ist da noch was in der registry? wenn ich firefox oder ie aus den programmen öffen, macht er dies tadellos. gruß J. |
05.02.2010, 19:29 | #38 |
| XP Internet security 2010 & Trojaner-BNK.WIN.32.Keylogger.gen Hi, av.exe verbiegt wohl weit mehr RegKeys... was mich wundert, wieso mam sie nicht findet und gerade biegt... Spiele noch mal eine neue Version von MAM ein... Den Text als regfix.reg speichern (Start->Ausführen notepad), nicht als Text. Dann Doppelklick und mit der Registry zusammenführen: Code:
ATTFilter Windows Registry Editor Version 5.00 [-HKEY_CURRENT_USER\Software\Classes\.exe\shell\open\command] [-HKEY_CURRENT_USER\Software\Classes\secfile\shell\open\command] [-HKEY_CLASSES_ROOT\.exe\shell\open\command] [HKEY_CLASSES_ROOT\.exe] @="exefile" "Content Type"="application/x-msdownload" [-HKEY_CLASSES_ROOT\secfile] Code:
ATTFilter HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\FIREFOX.EXE\shell\open\command "(Default)" = "%UserProfile%\Local Settings\Application Data\av.exe" /START "C:\Programme\Mozilla Firefox\firefox.exe" HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\FIREFOX.EXE\shell\safemode\command "(Default)" = "%UserProfile%\Local Settings\Application Data\av.exe" /START "C:\Programme\Mozilla Firefox\firefox.exe" -safe-mode HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\IEXPLORE.EXE\shell\open\command "(Default)" = "%UserProfile%\Local Settings\Application Data\av.exe" /START "C:\Programme\Internet Explorer\iexplore.exe" Danach bitte noch mal ein OTL-Log erstellen... Das mit dem Internet ist mir in Verbindung mit AV noch nicht untergekommen... Ev. die Browsererweiterung (hast Du das was gelöscht?). Hängt der Rechner an einem Router, ggf. den mal rebooten... chris
__________________ Don't bring me down Vor dem posten beachten! Spenden (Wer spenden will, kann sich gerne melden ) Geändert von Chris4You (05.02.2010 um 19:58 Uhr) |
05.02.2010, 19:54 | #39 |
| XP Internet security 2010 & Trojaner-BNK.WIN.32.Keylogger.gen sers Chris, leider kenn ich mich nicht so gut mit der reg aus, werde aber deine anweisungen für den 1. teil regfix befolgen. reicht es, die version von mbam aus dem link zu kopieren (http://www.malwarebytes.org/mbam.php) oder muss ich die dann noch updatenm und wenn ja wie ....hab doch kein netz... gruß J. |
05.02.2010, 20:07 | #40 |
| XP Internet security 2010 & Trojaner-BNK.WIN.32.Keylogger.gen Hi, dauert ein bisschen muß erst die VM anschmeissen... Zieh es Dir einfach neu und installiern, das update der Signaturdatei findest Du unter: http://www.malwarebytes.org/mbam/database/rules.ref download und hier hin kopieren: c:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes\Malwarebytes' Anti-Malware. Dann fullscan und alles bereinigen lassen, log posten! Okay, here we go: Wie eben, text in notepad kopieren, unter regfix2.reg speichern, doppelklick und zusammenführe. danach sollten sich ie und ff wieder über startmenü ausführen lassen... Dann konzentrieren wir uns nochmal auf das internet. wenn du die verbindung reparieren lässt, gibt es eine fehlermeldung, wenn ja welche? Code:
ATTFilter Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\FIREFOX.EXE\shell\open\command] @="C:\\Programme\\Mozilla Firefox\\firefox.exe" [HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\FIREFOX.EXE\shell\safemode\command] @="C:\\Programme\\Mozilla Firefox\\firefox.exe" -safe-mode [HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\IEXPLORE.EXE\shell\open\command] @="C:\\Programme\\Internet Explorer\\iexplore.exe" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center] "AntiVirusOverride" = dword:0x00 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center] "FirewallOverride" = dword:0x00
__________________ Don't bring me down Vor dem posten beachten! Spenden (Wer spenden will, kann sich gerne melden ) Geändert von Chris4You (05.02.2010 um 20:53 Uhr) |
05.02.2010, 22:04 | #41 |
| XP Internet security 2010 & Trojaner-BNK.WIN.32.Keylogger.gen mbam läuft, regfix.reg ist schon drauf... was hat dies denn bewirkt? da der mbam scan noch ca 2 std läuft, werde ich dir das ergebnis erst morgen posten... dann noch n schönen abend. ps: der bericht nach dem Reparieren ist: "..folgende Aktion werden konnte: Erneuern der IP-Adresse" |
05.02.2010, 22:37 | #42 |
| XP Internet security 2010 & Trojaner-BNK.WIN.32.Keylogger.gen Hi, [HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\FIREFOX.EXE\shell\open\command] @="C:\\Programme\\Mozilla Firefox\\firefox.exe" Stellt den Startmenüeintrag wieder auf den Firefox um. Vorher wurde zuerst die av.exe gestartet und die hat dann den Firefox gestartet... Dann hat sie sich weiter so in der Reg verewigt, dass bei dem Versuch eine exe zu starten erst wieder die Malware gestartet wird. Der erste Parameter ist dann das zu startende Programm, das dann anhand des Namen überpüft werden kann (ob die Malware dem Start zustimmt-> damit wird z.B. der Start von MAM verhindert)... Hängt der Rechner an einem Router oder direkt am DSL? Hast Du die Proxyeinstellung überprüft? So, mach auch Schluß für heute... chris
__________________ Don't bring me down Vor dem posten beachten! Spenden (Wer spenden will, kann sich gerne melden ) |
06.02.2010, 15:10 | #43 |
| XP Internet security 2010 & Trojaner-BNK.WIN.32.Keylogger.gen Vorweg: Vielen Dank für Deine Mühen, Chris!! Habe mich jetzt aber doch für einen anderen Weg entschieden, da ich bei besten Willen mein Internet nicht hinbekommme! Werde auf einer 2. Festplatte erneut windows installieren, da ich ja dann die andere drin lassen kann, und auf die Daten zurücckgreifen kann... ist wohl der sauberere weg! ich hoffe, dass bei der Installation nix schief geht und ich einigermaßen schnell meine konfiguration hinbekomme! Jetzt hab ich aber noch ein paar Fragen zum neuen System. Kann ich nach der Installtion der 2. Platte die andere, urpsüngliche Platte einfach anschließen, oder muss ich Angst haben, dass ich mir den Trojaner erneut ziehe? -das letzte Mbam log war ohne Befund! Wenn ich meine Dateien rüberziehe, darf ich dann alles verwenden, oder muss ich de auf ein paar dateitypen verzichten? Ich habe ja bislang an der "infizierten" Platte nix verändert, wenn also der Prozess Deiner Meinung nach noch nicht aabgeschlossen ist, kann ich jederzeit das Cleaning fortsetzen! Soweit erstmal vielen Dank für Deine tatkräftige Unterstützung! Gruß J. |
06.02.2010, 17:43 | #44 |
| XP Internet security 2010 & Trojaner-BNK.WIN.32.Keylogger.gen Juhuuuu, habe es noch 1 mal probiert, und nach dem 101. Neustart des Rechners funktioniert plötzlich - ohne eine erkennbare Veränderung... manchmal glaubt man doch an den kleinen Mann im Computer!! Also, Chris, was meinst du, soll ich noch weitere Tests durchführen, bevor der PC wierder einigermassen sicher ist? und hast du tips für mich, wie ich driveby viren vermeiden kann? Gruß J. |
06.02.2010, 20:33 | #45 |
| XP Internet security 2010 & Trojaner-BNK.WIN.32.Keylogger.gen Hi, wenn keine Programme von der ev. noch verseuchten Platte gestartet werden, dann gibt es noch einen Punkt, mit dem man sich was einfangen kann: autostart/-run. Daher komplett abschalten! (gibt zwar noch was, aber das wird fast nicht ausgenutzt). Dann die Platte kompellt scannen lassen (ich denke aber die Platte sollte sauber sein). Nunja, vielleicht hatte ja auch Dein Provider ein kleines temporäres Problem gehabt... Ich habe ein bisschen rumgespielt, Threadfire hat ziemlich sofort den Angriff der av.exe unterbunden (es fragt nach und weisst auf die hochgefährliche Aktion hin, kann aber überstimmt werden (und das ist dann fatal)). Gibt auch, ähnlich wie avira, eine freie edition: http://www.threatfire.com/de/ chris Autorun ausschalten: Temporär: Um beim Anschluss eine Neuinfektion zu verhindern, die Shift-Taste gedrückt halten, das verhindert den Autorun (autorun.inf). *Wichtig: Immer vorher eine Sicherheitskopie der Systemdateien anlegen, bevor man die Registry "betritt" oder gar verändert !!* Es gibt beim Schlüssel HKEY_CURRENT_USER\Software\Microsoft\ Windows\CurrentVersion\ Policies\Explorer zum einen den Namen: "NoDriveTypeAutoRun" (Standard ist: "95 00 00 00"), welcher den AutoPlay-Mechanismus der Laufwerke regelt. "95 00 00 00" - Autoplay für Festplatten und CD-Rom "00 00 00 00" - AutoPlay-Mechanismus für alle Laufwerke "FF 00 00 00" - kein Autoplay für alle Laufwerke "b1 00 00 00" - Autoplay für Festplatte und Diskette, nicht für CD-Rom "b5 00 00 00" - AutoPlay für Musik-CD's, nicht jedoch AutoPlay von Daten-CD's. "b9 00 00 00" - Autoplay nur für Diskette (Allerdings "rattert" dann die Kiste auch öfter ;-) Änderungen wirken sich hierbei erst nach einem Windows-Neustart aus. Autoplay/Autostart ausschalten: So deaktivieren Sie die Autoplay-Funktion von allen Laufwerken über die Gruppenrichtlinien: Start -> Ausführen -> gpedit.msc Computer Konfiguration -> Administrative Vorlagen -> System-> Autoplay deaktivieren "Autoplay deaktivieren für" -> Alle Laufwerke...
__________________ Don't bring me down Vor dem posten beachten! Spenden (Wer spenden will, kann sich gerne melden ) Geändert von Chris4You (06.02.2010 um 20:59 Uhr) |
Themen zu XP Internet security 2010 & Trojaner-BNK.WIN.32.Keylogger.gen |
ad-aware, ad-watch, antivir, antivir guard, avira, bho, browser, checkpoint, control center, desktop, exe, exe datei, google, hijackthis, hkus\s-1-5-18, home, internet explorer, internet security, malware, nicht öffnen, problem, security, senden, server, software, trojaner, trojaner-bnk.win.32.keylogger.gen, windows, windows xp, xp internet security, xp internet security 2010 |